密碼技術弊端顯現：生物識別漸受追捧

　　生物識別受寵

　　密碼有一個根本問題：只有當密碼很長、很復雜，而且經常更換時，才能給企業帶來最大的保護作用。換句話說，只有當員工最不可能記住密碼時，效果才最好。

　　因此，科技公司都在爭相提供更安全、更便利的措施。很多筆記本現在都已經內置了指紋傳感器。智能手機和其他設備同樣也對面部和語音等生物識別技術敞開了大門。

　　蘋果公司去年收購了指紋傳感器技術開發商AuthenTec，并在上周二宣布，新的iPhone 5s將內置指紋傳感器。微軟也表示，下月推出的Windows 8.1操作系統將也將針對指紋識別技術進行優化。該公司認為，生物識別技術將在該系統中得到更廣泛的應用。

　　與此同時，谷歌、PayPal、聯想等公司已經共同組建了一家名為“快速身份驗證聯盟”的組織，希望能為生物識別和其他形式的“強認證”模式制定行業標準。

　　谷歌正在嘗試一種由美國Yubico公司開發的新型硬件令牌。與可以產生隨機數字密碼的傳統硬件令牌一樣，Yubico的設備也可以生成暫時的密碼，以便對員工身份進行認證。

　　不過，企業員工無需從用令牌查看密碼，然后重新輸入，只需要將令牌通過USB接口插入電腦，或是使用NFC(近場通訊)技術與移動設備接觸一下即可。

　　谷歌正在員工中測試這種令牌，并計劃明年將其作為一種更安全的方式，推廣給Gmail和其他谷歌賬號的用戶使用。

　　谷歌安全工程總監馬巖克·尤帕德亞(Mayank Upadhyay)表示，這種令牌很容易使用，而且具備很強的加密功能。

　　“我們認為，這種令牌已經加強了我們的安全標準。”他說。這種令牌可以與谷歌的Chrome瀏覽器兼容，并且可以緊密融合到谷歌的日常工作流程中。

　　風險評估模式

　　另外一種以風險評估為基礎的方案則是由EMC旗下的RSA安全部門開發的，該公司曾經推出過應用廣泛的SecurID硬件令牌。

　　這種技術可以仔細分析公司內各個部門的海量用戶數據，以此建立一套存儲著“正常行為模式”的數據庫，然后對每個用戶展開風險評估。如果某位員工的行為出現異常，例如從新的地點登錄、使用不同的電腦或訪問不屬于自己的系統，風險評分就會增長，系統便有可能向該員工索取額外的認證資料，例如通過電話確認其身份。

　　很多人預計，隨著越來越多的員工將自己的智能手機和其他設備帶到工作場所使用，安全領域的格局將會發生很大轉變。雖然個人設備的滲透通常被視作是一大威脅，但有些分析師卻認為，移動設備反而可以通過簡化生物識別技術的使用流程來改善安全性，因為多數手機都配有麥克風和攝像頭，而且可以確定員工所在的位置。{page_break}

　　“我們認為生物認證今后將非常熱門，而這一趨勢的發展動力則是移動計算。”美國市場研究公司Gartner研究副總裁安特·阿蘭(Ant Allan)說。

　　他解釋道，對大企業來說，為每位員工配備新硬件將產生高昂的成本，因此能夠利用員工的個人設備將具備很強的吸引力。另外，擁有移動設備的員工可能會發現，指紋識別器比記住并輸入密碼好用得多。

　　西班牙馬德里的Agnitio公司也在探索新型安全工具，他們已經將語音識別軟件應用到執法行動中。利用該公司開發的系統，員工只需要說一個短語即可登錄進去。

　　與此同時，英國倫敦的PixelPin則希望用密碼取代圖片。例如，可以選擇一張自己配偶的照片，然后通過順序點擊他面部的四個位置，便可順利登錄系統。該公司聯合創始人吉奧夫·安德森(Geoff Anderson)表示，照片比文字密碼更容易記憶。

　　思維密碼成真

　　加州大學伯克利分校的研究人員正在研究通過腦電波認證身份的方式。他們的測試項目需要用戶佩戴一副耳機，以便在其想象著完成特定任務的場景時探測其腦電波信號，該項目在區分不同人的身份時已經能夠達到99%的精確率。從理論上講，想象某個任務時釋放的腦電波可以成為員工的“思維密碼”。

　　多數專家預計，企業將使用不同的認證方式。例如，紐約州的薩拉托加醫院使用了指紋讀卡機來代替密碼。但該院安全分析師加里·穆恩表示，雖然他們已經解決了很多安全問題，但指紋識別器有時會失靈。還有一些年齡較大的員工難以將手放在指紋讀卡器上靜止不動，而且當人們佩戴手套或手指過于干燥時，指紋識別器都無法使用。還有一些員工直接拒絕使用指紋認證。

　　因此，薩拉托加醫院不得不將密碼作為后備安全系統使用。

　　“認證領域沒有萬能方案。”凡斯·比約恩(Vance Bjorn)說，他創辦的DigitalPersona公司為薩拉托加醫院供應了指紋識別器。他認為，企業需要同時采用不同的技術，以便適應不同的情況。